개인정보 침해 논란으로 서비스를 중단한 인공지능(AI) 챗봇 ‘이루다’의 개발사 스캐터랩에 1억 330만 원의 과징금과 과태료가 부과됐다.
개인정보보호위원회(이하 위원회)는 지난 1월 언론보도를 통해 이루다의 개인정보 침해 문제가 불거진 후 개발사인 스캐터랩을 상대로 조사를 진행하는 한편, AI 개발과 서비스 제공 과정에서의 개인정보 처리 현황과 법리적·기술적 쟁점에 대해 산업계, 법·학계, 시민단체의 의견을 수렴했다.
위원회의 조사 결과 스캐터랩은 이루다 외의 또 다른 자체 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 이루다 AI 개발에 이용한 것으로 확인됐다. 2020년 2월부터 2021년 1월까지 사용된 데이터는 약 60만 명의 카카오톡 대화 문장 94억여 건에 이른다.
문제는 이 과정에서 카카오톡 대화에 포함된 이름, 휴대전화번호, 주소 등의 개인정보를 삭제하거나 암호화하는 등의 조치를 전혀 하지 않아 특정인의 실명과 집 주소 등의 개인정보가 이루다를 통해 언급된 것이다.
위원회는 스캐터랩이 텍스트앳과 연애의 과학의 개인정보처리방침에 ‘신규 서비스 개발’을 포함시켰지만, 단순히 이용자가 해당 서비스에 로그인함으로써 동의한 것으로 간주하는 것만으로는 이루다와 같은 신규 서비스 개발 목적에 이용되는 걸 동의했다고는 보기 어렵다고 판단했다.
또한, 신규 서비스 개발이라는 표기만으로는 이루다 개발과 운영에 카카오톡 대화가 이용될 것으로 예상하기도 어렵고, 이용자의 개인정보 자기결정권이 제한되는 등 예측할 수 없는 손해를 입을 우려가 있으므로, 스캐터랩이 이용자의 개인정보를 수집한 목적을 벗어나 이용한 것으로 봤다.
이 외에도 스캐터랩이 깃허브(Github)에 2019년 10월부터 2021년 1월까지 이름(성은 미포함) 22건, 지명정보 34건, 성별과 인간관계 등이 포함된 카카오톡 대화 문장 1431건을 AI 모델과 함께 게시한 것에 대해서는 가명정보를 불특정 다수에게 제공하면서 ‘특정 개인을 알아보기 위해 사용될 수 있는 정보’를 포함했기 때문에 개인정보보호법 제28조의2제2항을 위반한 것으로 판단했다.
위원회는 조사 과정에서 정보 주체가 명확히 인지할 수 있도록 알리고 동의를 받지 않은 사실 등 추가 위반 사실을 확인했으며, 이를 포함해 총 8건의 개인정보보호법 위반 행위에 대해 스캐터랩에 1억 330만 원의 과징금과 과태로를 부과하고 시정조치를 명령했다고 밝혔다.
윤종인 개인정보보호위원회 위원장은 “이번 사건은 전문가들도 의견이 일치되지 않아 격렬한 논쟁이 있었으며 매우 신중한 검토를 거쳐 결정됐다. 이번 사건은 기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용한 것이 허용되지 않고, 개인정보 처리에 대해 정보 주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 했다는 점에 의미가 있다”고 말했다.
이어 윤 위원장은 “본 건에 대한 처리 결과가 AI 기술 기업이 개인정보를 이용할 때 올바른 개인저보 처리 방향을 제시하는 길잡이가 되고, 기업 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다”고 덧붙였다.
한편, 위원회는 AI 기술 기업이 스스로 개인정보 보호 역량을 높일 수 있도록 AI 개발자나 운영자가 현장에서 활용 가능한 ‘AI 서비스의 개인정보 보호 자유 점검표’를 발표하고 현장 컨설팅을 지원하는 등 AI 기술 기업이 국민의 개인정보를 보호하면서 AI·데이터 기반 산업을 발전시킬 수 있도록 적극 지원해 나갈 방침이다.
